222.186.129.5 - - [19/Jun/2015:16:56:28 +0000] "POST http://123.249.24.233/POST_ip_port.php HTTP/1.1" 301 184 "http://123.249.24.233/POST_ip_port.phpAccept: */*" "Mozi$
222.186.30.111 - - [19/Jun/2015:16:56:29 +0000] "POST http://123.249.24.233/POST_ip_port.php HTTP/1.1" 301 184
Es gibt so viel Datenverkehr mit der POST-Methode von der IP 222.186..also habe ich eine hohe CPU-Auslastung. Meine Frage: Wird es angegriffen? Wie kann ich das vermeiden? (ich möchte diese IP nicht blockieren), Und ich verstehe das Protokoll nicht, es heißt "POSThttp://123.249.24.233/POST_ip_port.phpHTTP/1.0“ im normalen POST sollte die URL lokal kommen, sie kommt aber von extern.
Übrigens verwende ich Nginx, PHP5-FPM und WordPress und habe so viele POSTs an xmlrpc.php bekommen, aber ich habe das Problem durch Entfernen und Hinzufügen von Regeln gelöst.
Antwort1
Da es nur Layer 7 ist, installieren Sie einfach etwas wie DDOS Deflate oder Null-Route für den IP-Bereich.
So routen Sie die IP auf Null:
route add -host 222.186.129.X reject
ip route get 222.186.129.x
Ausgabe
RTNETLINK answers: Network is unreachable
So routen Sie das gesamte Subnetz auf Null:
route add -net 222.186.0/24 gw 127.0.0.1 lo
Oder um DDOS Deflate zu installieren:
wget http://www.inetbase.com/scripts/ddos/install.sh
chmod 0700 install.sh
./install.sh
(Deinstallieren) ->
wget http://www.inetbase.com/scripts/ddos/uninstall.ddos
chmod 0700 uninstall.ddos
./uninstall.ddos
Wenn der Angriff immer noch zu groß ist, um ihn zu bewältigen, empfehle ich Ihnen, sich an Ihren ISP zu wenden. Eine andere Möglichkeit besteht jedoch darin, einen Reverse-Proxy zu erwerben, der DDOS-Schutz vor Layer-7-Angriffen bietet, wie z. B.http://x4b.net(Ziemlich günstige Lösung)
Hoffe das hilft.